אל תזיזו לי את הגבינה, אני אזיז אותה בשבילכם.
ב-18 לחודש, Ynet פרסמו כתבה שבשורה התחתונה אומרת: "כך תהפכו את המחשב שלכם לפריץ לחלוטין". - אין לנו שום דבר
אישי נגד כותב הכתבה (אסף שגיא), אבל אני מאמין שלפני שמפרסמים תוכן מסויים- עדיף לבדוק מה ההשלכות שלו.
הכתבה מתחילה עם השורות הבאות:
"תוכנות רבות היום מתעקשות להתקין לכם עדכונים באופן אוטומטי, ועוד בזמן שאתם מנסים לעשות משהו חשוב. כך
תעצרו את העדכונים האוטומטיים של אדובי, אפל, חלונות ודפדפני האינטרנט"
כן, אשכרה Ynet מציעים לנו להפסיק את מנגנוני העדכונים של מספר תוכנות במחשב שלכם, תוכנות כגון Adobe Reader, FireFox
ו-Chrome ועוד.
מספר שורות שמאוד אהבנו:
"אדובי רידר היא ללא ספק התוכנה עם היחס הכי לא פרופורציונלי בין החשיבות שלה לבין כמות העדכונים שלה" - אחת
הקביעות היותר הזויות ששמעתי לאחרונה, מאיפה הם הביאו את זה?
Adobe Reader היא אחת מהמטרות הכי מרכזיות אצל תוקפים, ולא סתם היא נמצאת כאחת מהמטרות היותר יוקרתיות בתחרויות
האקינג כגון Pwn2Oen, מדובר בקורא PDF שנמצא בהיקף נרחב (הנרחב ביותר?) אצל הגולש הבייתי, בנוסף, הוא מכיל תוסף
שמתלבש על הדפדפן ויודע לפעול באופן ישיר ממנו- ולכן, במקרים בהם נמצאה חולשה באפליקציה- מספיק שהקורבן ילחץ על
קישור זדוני או יפתח את הקובץ בכדי להגיע לרמה של הרצת קוד על מחשבו שירוץ עם הרשאותיו של המשתמש. לא סתם חוקרי
אבטחה רציניים מחפשים בו חולשות, מפתחים לו כלים לניתוח וכו'.
בהמשך המאמר הם מציעים לגולשים להפסיק את מנגנוני העדכון של לא פחות מאשר Firefox ו-Chrome, אני צריך להזכיר מה קרה
מניצול של חולשה בתוכנה מקבילה? סתם אותן חברות מציעות כסף - והרבה למי שיצליח למצוא פרצות באותם המוצרים?
ובסוף הכתבה, הכי גרוע- הם מציעים לבטל את העדכונים האוטומטיים של מערכת ההפעלה Windows, בהחלט צעד חכם. אני
מסכים שמדובר בהליך מעצבן- בזה אין ספק, אבל אני מאמין שיהיה הרבה יותר מעצבן לגלות, חודש לאחר מכן, שהמחשב שלכם זוחל
מפני שהוא חלק מרשת זומבים והוא שולח כמויות אדירות של ספאם, או שסתם במקרה אתם חלק ממתקפת DDoS על השרתים של ה-
FBI...
שורה תחתונה:
חבר'ה, אם אין לכם על מה לכתוב- אני ממליץ שפשוט לא תכתבו, למה לסכן את האינטרנט הישראלי? (או שאולי תמשיכו לגנוב פוסטים
מאתרים אחרים?) ;)
תגובות על 'אל תזיזו לי את הגבינה, אני אזיז אותה בשבילכם.':
#1 |
 |
sdimant: טוב עברה שעה ואף אחד לא כותב תגובה, כנראה שרוצים בכוח שאני אהיה הראשון, אז: ממש ממש הזוי! לפעמים אין לאנשים שמץ של מושג מה הם עושים... 19.02.2011 23:08:45 |
#2 |
|
dudu@cyblog (אורח): הזוי ועצוב. יש כאן אלמנט של אחריות לאומית שהעיתון פספס. וחשוב לציין שמישהו אישר את הכתבה (מעבר לכותב). מדובר בהוכחה נוספת שיש בעיה ברמת התרבות בארץ, אני בספק שכתבה כזו תתפרסם בעיתונים גדולים במדינות "מתוקנות". 20.02.2011 03:22:40 |
#3 |
|
שמיל (אורח): אני מסכים עם דודו לגמרי, זה שכתב מסויים מגיש כתבה כזאת זה דבר אחד, אבל זה שמישהו מצוות העריכה אישר אותה- זה כבר דבר אחר. במידה ואני הייתי העורך- הייתי מעיף כתבה כזאת לכל הרוחות. עכשיו, אני מסתכל על הכתבה ואומר לעצמי: אני מבין קצת במחשבים ויכול להבין שמה שכתוב שם זה שטויות ועדיף לא להקשיב להן- מעניין האם גם בנושאים אחרים, שבהם אני לא מבין ולא יכול לזהות בהם חרטות- האם גם שם הם כותבים שטויות במיץ שעדיף ולא להקשיב להן. 20.02.2011 04:52:04 |
#4 |
|
cp77fk4r: אני ממש לא יודע איך הולך כל התהליך הפנימי ב-Ynet עד שמאשרים כתבה, אבל זה בהחלט נראה כאילו לא מעורב בו שום גורם מקצועי שעובר על המאמרים מהבחינה הזאת. ושמיל- שאלה מעניינת ביותר, בכדי לקבוע ולענות עליה צריך שחבר׳ה מקצועיים בתחומים אחרים יעבור על שאר הכתבות. 20.02.2011 05:20:43 |
#5 |
|
iTK98se (אורח): החסרון העיקרי בחלונות, שאין לה מערכת מרכזית לניהול התוכנות המותקנות (כמו שקיים ברוב ההפצות של לינוקס) ולכן כל אפלקציה צריכה להתקין את ה"מנהל עידכון" שלה ולהטריד אותנו בהודעות. אכן כתבה "לא חינוכית" אבל צריך לזכור שאכן משתמשי חלונות "זוכים" להיות הטרדות מצד התוכנות הנמצאות במערכת שלהם. 20.02.2011 05:25:19 |
#6 |
|
cp77fk4r: זה שכל תוכנה מנהלת בעצמה את העדכונים שלה- זה באמת טפשי, אבל מכאן ועד לבטל לחלוטין עדכונים של תוכנות מרכזיות כמו הדפדפן שבו אתה גולש הדרך ארוכה. וכמה שזה מעצבן ומציק- לבטל את מנגנון העדכונים של מערכת ההפעלה, בייחוד במערכות Windows- שווה ערך ללירות לעצמך ברגל בגלל שהיא מגרדת. 20.02.2011 05:45:27 |
#7 |
|
sdimant: שמיל, אני לא חושב שזאת "אשמת" העורך דווקא. זה שהוא עורך לא הופך אותו למומחה מחשבים, יש כתב ש"מבין" במחשבים, מביא לו כתבה, הוא עובר עליה מבחינה לשונית או לא יודע מה, ומוציא אותה לאור. זה הרי לא הגיוני שכל עורך יבין בכל התחומים של הכתבות שמתפרסמות אצלו, הכותבים הם אלה שמבינים (אמורים;)) בתחומים שהם כותבים עליהם. 20.02.2011 07:13:21 |
#8 |
|
Hero (אורח): שמתי לב לכתבה הזאת פשוט לא התיחסתי ועשיתי NEXT כמו שאומרים :) 20.02.2011 07:54:20 |
#9 |
|
שמיל (אורח): יכול להיות בעיתון מקומי, אבל לא הייתי מצפה מאתר בסדר גודל כזה לעבוד בצורה כזאת, תמיד צריך לפחות עוד עין מקצועית שתעבור על המידע, לא מבחינה לשונית אלא מבחינת תוכן. 20.02.2011 09:43:24 |
#10 |
|
גידי (אורח): --- חוויתי היום 2 משמשים שקראו את הכתבה על בשרי -- במחשב הארגוני הם שאלו איך להפסיק את העדכונים "כי הבינו שזה לא טוב" - ^$%&*I%^@#$*# רק במדינה שלנו שכל התוכנות פרוצות יש נורמה כזו - לא מעדכנים שום דבר... וחצי מהמדינה עדיין עם ie6. 20.02.2011 16:15:20 |
#11 |
|
cp77fk4r: העורך של המדור בהחלט לא אמור להבין בכל הנושאים (למרות שאני כן מצפה שתהיה לו הבנה מסויימת במחשבים), אבל המקרה כאן זהה למקרה שעורך במדור רפואה יאשר מאמר שיפרסם שבריא לשתות אלכוהול ביחד עם כמויות של כדורי שינה. אז גם אם לעורך אין תעודת רופא- אני כן מצפה שיהיה לו הגיון מינימאלי. 20.02.2011 16:18:43 |
#12 |
|
cp77fk4r: גידי, אתה צודק בהחלט, רב הארגונים הגדולים שיצא לי לעבוד איתם, הדפדפן הדיפולטיבי בעמדות הקצה היה IE6 ומערכת ההפעלה הייתה XP, אבל אם מדובר בארגונים מסודרים, יש ניהול עדכונים מסודר ו-GP מסודר, ככה שלעובדים לא אמורה להיות הבחירה האם לעדכן או לא, זה חוסך הרבה כאבי ראש- בייחוד במקרים בהם העובדים קוראים כתבה טפשית ורצים ״להגדיל ראש״ כמו במקרה שלך ;) 20.02.2011 16:50:56 |
#13 |
|
Dm12 (אורח): שטות גמורה. בחיים לא ראיתי כל כך הרבה שטויות, אולי שווה לעבור על מאמרים אחרים מהמדור הזה ולראות בדיוק מה כתוב שם, אישית אני כמעט ולא נכנס ל-Ynet בדרך קבע, ואני שמח על כך. 20.02.2011 17:28:19 |
#14 |
|
Dm12 (אורח): אגב, כותרת מעולה! ;) 20.02.2011 21:41:41 |
#15 |
|
דביר.ק (אורח): מזל שהם לא כתבו שצריך לבטל את עדכוני החתימות של תוכנת האנטי וירוס! זה גם קצת מפריע לעבוד... ;) 22.02.2011 04:29:07 |
#16 |
|
cp77fk4r: לדעתי זה חמור בדיוק באותה המידה. ועוד דבר, בקשר לאחד המשפטים של הכתב על Adobe, ואני רק אצטט: ״Adobe - Evaluating the World’s Most Exploited Software״ (במקור מכאן: https://bit.ly/gxJrrO) 22.02.2011 16:18:12 |
#17 |
|
Hero (אורח): שיהיו בריאים (: בקיצור נקודה למסקנה המצב חמור תקראו רק ממקורות אמינים [; והכל בערבון מוגבל 22.02.2011 23:18:10 |
#18 |
|
shemerdog: דביר! לא מפסיקים עדכון AV כי ה-POPUP של WINDOWS מציק על עדכוני AV מציק יותר מהתוכנה עצמה AV :) לדעתי כולנו קצת נאיבים. אנחנו יושבים כל היום ומתעסקים בפירצות ובעיות אבטחה. המשתמש המצוי לא מתעניין בזה, הוא רוצה לעבוד (כמו כל איש IT טיפוסי ששונא את ה-SECURITY). המאמר מתרכז ב"איך לעשות את המחשב שלך פחות מעצבן". כל התגובות חסרות הסבלנות פה מתעסקות באבטחה - מה נראה לכם?! שיש מומחה SECURITY שעובר ועושה צנזורה לכל הכתבות?! אני לא חושב שיש עיתון אחד כזה בעולם. ידוע שהמודעות בארץ לאבטחה שואפת לאפס. במקום להתלונן, כנסו לפורומים ולעיתונים האלה: השאירו תגובות חריפות לקוראים וגם למערכת, שלחו כתבות תגובה וכדו' בשביל מה אנחנו פה?! 23.02.2011 11:43:46 |
#19 |
|
shemerdog: זו אחריות של "קוראי DW" הרבה יותר מאשר אחריותו של כתב HOW TO שלא מבין כלום באבטחה 23.02.2011 11:46:14 |
#20 |
|
דביר.ק (אורח): אתה צודק שעיתון לא יכול להחזיק מומחים לכל הנושאים, אבל זה לא נותן להם את האפשרות לפרסם כאלה שטויות. זה כמו שהם יעלו לעמוד התוכנות שלהם תוכנה נגועה בוירוס ויגישו אותה באחת הכתבות שהם עושים לפעמים על כל מני תוכנות ואז תבוא ותגיד שהם לא יכולים לבדוק כל תוכנה ותוכנה שהם מעלים. אני אומר: אתה מפרסם משהו? יש לך קוראים? קח אחריות על מה שאת עושה. אם הם היו כותבים על פתרון שאחרי מחקר ממושך סיפי היה מגלה שמדובר בפתרון שהוא לא מאובטח- הייתי זורם איתך, אבל אם הם מפרסמים דברים ברמה כזאת- ככל הנראה יש כאן משהו דפוק. 23.02.2011 16:38:04 |
#21 |
|
דביר.ק (אורח): ובקשר למה שטענת: זאת לא האחריות של הקוראים כאן בכלל, זאת אחריותו הבלעדית של זה שאישר את הכתבה הזאת. אתה צודק שהקוראים כאן- שיותר מודעים לאבטחת מידע צריכים להגיב שם ולהציף את הבעיה בתגובות, ואם תשים לב- יש שם הרבה תגובות של גולשים מביני עניין שהציפו, אני לא אתפלא אם הם גם מגיבים כאן. ובלי קשר, הרעיון הכללי של Digitalwhisper הוא להגביר את המודעות בקהילה הישראלית לאבטחת מידע, דעתי האישית היא שהכותבים ממלאים את המטרה הזאת באופן מצוין, אבל אתה לא יכול לדרוש מהם (בייחוד כשהם עושים זאת בהתנדבות) לחפש בכל האתרים והמקורות המידע ולרדוף ״צדק״ בנושא אבטחת מידע. 23.02.2011 16:47:54 |
#22 |
|
אלצ'קו (אורח): זה כיף לחפור על כמה ש-YNET מטומטמים וכל זה, אבל מה אתם יודעים על מנגנוני העדכון של כל התוכנות האלה? יש הרבה תוכנות שמנגנון העדכון שלהן כולל פשוט הורדת קובץ ב-HTTP והרצה שלו. זה אומר שאם אתה גולש ברשת של מישהו אחר (לדוגמה, בבית-קפה, בלימודים, בתחבורה ציבורית) אתה נמצא בסכנה שמישהו יבצע עליך תקיפה פשוטה כמו ARP poisoning ויגיע אל המחשב שלך בלי מאמץ מיוחד. מצד שני, אם יש לך תוכנה כזו שאינה מעודכנת, כדי לתקוף אותך צריך לגרום לך להוריד קובץ נגוע ולפתוח אותו בתוכנה. יש כאן קצת יותר התערבות משתמש, ובכל מקרה מי מריץ אקרובט כאדמין בימי ה-UAC? עדכונים אוטומטיים זה השקול בעולם המחשבים של לצעוק "מי רוצה להריץ עלי קוד?!" בכל הרשת המקומית (לפחות). ועוד קופצים לי פה עם "אחריות לאומית"... 12.04.2011 17:23:16 |
הוסף את תגובתך:
